【初心者でも分かる】IT全般統制とは?構成する要素を解説

内部統制・IT統制

近年、企業の内部統制の中でIT部門での統制を図る「IT統制」が注目されています。IT技術の進化によって、内部統制をITで効率的に行う企業が増えているのです。

IT統制は、内部統制にITシステムを導入するための土台作りともいえるでしょう。中でも、ITシステム全体の業務をコントロールするのが「IT全般統制」です。

IT全般統制は、企業情報の信頼性の確保やITシステムの適切な運用管理を目的としています。当記事では、IT全般統制とはどのようなものか、解説します。
 
〈目次〉
IT全般統制とは内部統制に含まれる
 内部統制とは
 内部統制におけるIT全般統制の位置づけ
 IT全般統制を構成する4要素
 1.システムの開発、保守に係る管理 
 2.システムの運用・管理 
 3.内外からのアクセス管理等のシステムの安全性の確保 
 4.外部委託に関する契約の管理
IT全般統制のモニタリングとは
 
 

IT全般統制とは内部統制に含まれる

 
IT全般統制とは内部統制に含まれる
 
IT全般統制は、内部統制の1つです。IT運用に関わるIT内部統制の一要素として位置づけられます。

では、そもそも内部統制とはどのようなもので、どんな目的があるのでしょうか。内部統制の解説とIT全般統制の位置づけについて解説します。
 

内部統制とは


内部統制とは、企業が健全な事業活動を継続するための社内ルールや仕組みを指します。内部統制の目的は業務の効率化やミスや不正リスクの軽減、信頼性のある財務報告、社内ルールの遵守などが挙げられます。
 
詳細は「内部統制とは?」のコラム記事をご覧ください。

つまり、企業の課題点やリスクを調査・検討し、統制活動を行うということです。具体的には、稟議書の運用管理や社内ガイドラインの作成、セキュリティシステムの管理などがあります。
また、これらの活動を行ううえで「正常に機能しているのか」「改善点すべき点がないか」といった点をモニタリングします。この一連の流れを内部統制と呼びます。
 

内部統制におけるIT全般統制の位置づけ


内部統制の1つとして位置づけるIT全般統制は、ITシステムを安全かつ効率的に運用するための管理活動を指します。ITシステムの運用やその管理などを通じて、業務全般にかかる信頼確保や効率化が目的です。

つまり、内部統制におけるIT全般統制は、企業のITシステムの運用で生じるミスや不正を未然に防ぐ役割があります。
 
内部統制とIT統制
 
 

 IT全般統制を構成する4要素

 
IT全般統制を構成する4要素
 
IT全般統制は4つの要素から成り立っています。これらの要素が統制され、適切なシステム運用がされているかを評価します。統制の効果を高めるためにも、それぞれの内容についてみていきましょう。
 

1.システムの開発、保守に係る管理 


1つ目の要素は「システム開発、保守に係る管理」です。経営者が示す方針に沿った情報システムにするための運用や管理を行います。具体的な内容は次のとおりです。

・システムの開発や変更に伴う承認や否認
・開発に関する事前テストの実施

システム開発には手間やコストを多く生じることから、実現すべき内容を明確し、把握する必要があります。「システム開発、保守に係る管理」が不十分な場合、次のようなトラブルへと発展する可能性もあるため注意が必要です。

【例】
・保守契約を締結ぜず財務システムを刷新したため、会計基準の変更に対応できず、財務情報の正確性が担保できなくなった。
・開発したシステムのテストが十分に行われず、会計と在庫の数値に乖離が生じ、正確な財務情報を取得できなくなった。
 

2.システムの運用・管理 


2つ目の要素は「システムの運用・管理」も、経営者が示す方針に沿った情報システムにするための運用や管理を行います。具体的には次のような項目が挙げられます。

・変更履歴のログの収集や管理
・保存データの定期的なバックアップなど

特に社内システムに関する不正や情報漏洩を防ぐためにも、運用と開発の担当者をそれぞれ分けて設置することが理想的です。「システムの運用・管理」が不十分な場合、次のようなトラブルへと発展する可能性もあるため注意しましょう。

【例】
・サーバーがダウンしてしまったが、サーバーダウンに対する対策を講じておらず、決算日までに財務上の数値を確定できなかった。
・バックアップを取らないままにプログラムを変更したため、売上や利益に関わるデータの誤削除に対応できず、正確な経理情報が取得できなくなった。
 

3.内外からのアクセス管理等のシステムの安全性の確保 


3つ目の要素は「内外からのアクセス管理等のシステムの安全性の確保」です。企業の情報に関するセキュリティ強化やリスク対策を指します。

ITシステムのリスクとしては「データ改ざん」や「不正アクセス」などが代表的です。万が一これらに問題が起きれば、企業情報が不正に使われるなど、企業として大きな不利益を被りかねません。

リスクを回避するためにもアクセスやセキュリティに対する統制管理は重要です。具体的な内容は次のようなものがあります。

・アクセス者のIDを設定、管理
・管理者のみの特権IDの発行
・コンピューターウイルス対策

これらの対策により、外部からの不正アクセスに対する制限が設けられ、情報漏洩のリスクを軽減できます。また、内部で情報の改ざんがあった場合にも、アクセス者の特定にもつながるのです。

「内外からのアクセス管理等のシステムの安全性の確保」が不十分な場合、次のようなトラブルへと発展する可能性もあるため注意しましょう。

【例】
・財務に関するデータベースを不正アクセスされ、財務情報が外部に流出した。
・社内システムのデータを内部で改ざんされたものの、アクセス者を特定できなかった。
 
アクセス管理については監査法人から指摘が受けやすく、特に注意が必要ですので、別のコラム記事で詳しく解説しました。こちらも合わせてぜひご確認ください。

指摘を受けやすいポイント解説|IT全般統制「アクセス管理」

アクセス管理

 

4.外部委託に関する契約の管理


4つ目の要素は「外部委託に関する契約の管理」です。ITシステムに関する改修や管理を外部委託する場合、依頼通りの運営や管理ができているかを評価します。

外部委託は自社の業務を分散し、負担を軽減できる有効な方法であるものの、任せっきりにしてしまうと意図とは違った内容にもなりかねません。また、トラブルの発生時も責任の所在が曖昧になりがちです。委託先との契約に関する管理は次のような内容について行います。

・委託先からの業務報告書の受け取り
・外部委託先への監査

「外部委託に関する契約の管理」が不十分な場合、次のようなトラブルへと発展する可能性もあるため注意しましょう。

【例】
・外部委託先のシステムがダウンし、支払いに関する情報取得に遅延が生じた。
・外部委託先との契約書に監査実施の旨を記載しておらず、監査ができなかった。

外部委託先に対して監査を実施するには、契約時点で監査の実施を条件に盛り込んでおくほうが無難です。
 
 

IT全般統制のモニタリングとは

 
 IT全般統制のモニタリングとは
 
IT全般統制におけるモニタリングとは、統制が適切に実施されているかを評価することです。評価は継続的に行われ、必要があれば統制活動を是正します。

モニタリングは日々実施される「日常的モニタリング」と、業務とは切り離された立場の人(経営者、第三者委員会、監査委員など)によって定期的におこなわれる「独立的評価」の2つに分かれます。モニタリングの例は、以下の通りです。

◯ 日常的モニタリング:管理者による日報のチェック、アクセス状態の管理、部門業務の自己チェックなど

◯ 独立的評価:監査委員会による会計監査、内部統制業務の遂行に関する調査など

日常的モニタリングは、毎日の実施で気づいた点をすぐに是正できる点がメリットです。しかし、あくまで社内の担当者や管理者による実施であるため、モニタリングの評価が甘くなりがちな点はデメリットといえます。

その対策とするためにも「独立的評価」によって第三者からの評価を受け、客観的に指摘事項を受ける必要があります。IT全般統制の有効性を客観的に確認できるでしょう。

 

今回は、IT全般統制の要素や具体的な機能などについて紹介しました。IT全般統制に対して適切に対応できていない場合、財務情報の信頼性を下げる可能性があります。

社内のITシステムは様々な要素が一体となり機能するものです。効率的かつ効果的に構築・運用するためにもIT全般統制を正しく取り入れることをおすすめします。
 
 

よく読まれている関連コラム記事


IT統制とは何か|上場を目指す企業向けに解説します

IT統制とは何か
 

【上場審査の実績あり】IT関連規程で注意すべきポイント5点とは|IT統制対応

IT関連規程

一覧を見る>

内部統制・IT統制の事例紹介

一覧を見る>

最近の活動・コラム